revDSG und KI: Was die Geschäftsleitung 2026 wissen muss

Kein Anwalts-Text, sondern eine Checkliste für CEOs und VR. Sechs konkrete Pflichten — und was passiert, wenn man sie ignoriert.

Ich führe ein KMU. Ich bin kein Datenschutzanwalt. Aber seit das revidierte Datenschutzgesetz (revDSG) in Kraft ist, kommen die Fragen meiner Kunden in eine Richtung: «Müssen wir das wirklich alles?» Die kurze Antwort: ja. Die längere Antwort steht hier.

Was sich gegenüber dem alten DSG geändert hat, ist nicht der Umfang der Pflichten — die waren grossteils schon vorher da. Geändert hat sich die Durchsetzbarkeit: Bussen bis CHF 250'000 gegen verantwortliche Personen (nicht gegen die Firma, sondern persönlich), erweiterte Auskunftsrechte, dokumentierte Bearbeitungsverzeichnisse. Wer KI einsetzt, vervielfacht jede dieser Pflichten.

## 1. Bearbeitungsverzeichnis aktuell halten

Jedes KI-System, das Personendaten verarbeitet, gehört ins Verzeichnis. Mit Zweck, Datenkategorien, Empfängern, Speicherdauer, Sicherheitsmassnahmen. Wer das nicht hat, kann bei einer Auskunftsanfrage nicht antworten. Und Nicht-Antworten ist eine Verletzung der Mitwirkungspflicht.

## 2. Datenschutz-Folgenabschätzung vor dem Go-Live

Bei KI fast immer Pflicht, weil die Verarbeitung «hohe Risiken» mit sich bringt: automatisierte Entscheidungen, grosse Datenmengen, sensible Inhalte. Die DSFA muss vor dem Produktivbetrieb erstellt sein, nicht danach. Und sie ist nicht ein Dokument, das man einmal schreibt — sie wird bei jeder wesentlichen Änderung aktualisiert.

## 3. Auftragsbearbeitungsverträge mit jedem KI-Anbieter

OpenAI, Anthropic, Mistral, Infomaniak — jeder, der für Sie Daten verarbeitet, braucht einen ADV. Ohne ADV ist die Übermittlung unzulässig, Punkt. Und wer einen US-Anbieter ohne Standardvertragsklauseln nutzt, verstösst zusätzlich gegen die Pflichten bei der Datenübermittlung ins Ausland.

## 4. Information der betroffenen Personen

Mitarbeitende, Kunden, Bewerber müssen wissen, dass und wie KI ihre Daten verarbeitet. Das gehört in Arbeitsverträge, Datenschutzerklärungen, Bewerbungsformulare. Nicht versteckt, sondern verständlich. Wer das nicht macht, riskiert Klagen — und in Bewerbungsverfahren zunehmend auch öffentliche Reputationsschäden.

## 5. Automatisierte Einzelentscheidungen kennzeichnen

Wenn ein KI-System eine Entscheidung trifft, die rechtliche oder erhebliche Folgen hat (Bewerberauswahl, Kreditvergabe, Versicherungsannahme), muss die betroffene Person das wissen und eine menschliche Überprüfung verlangen können. Das ist ein häufiger blinder Fleck — der Algorithmus entscheidet, niemand merkt es, bis jemand fragt.

## 6. Meldepflicht bei Verletzungen

Daten-Leaks aus KI-Systemen müssen «so rasch als möglich» an den EDÖB gemeldet werden. Wer den Vorfall sechs Wochen für sich behält, hat das nächste Problem.

## Was passiert, wenn man's ignoriert

Realität 2026: Der EDÖB hat Personal aufgestockt, die ersten Verfahren laufen. Bussen treffen Geschäftsleitungsmitglieder persönlich, nicht das Unternehmen — und sind nicht versicherbar. Zweite Realität: Kunden fragen zunehmend nach. Wer auf eine Compliance-Frage nicht antworten kann, verliert Aufträge, lange bevor der EDÖB überhaupt vorbeischaut.

Das ist keine Anwalts-Empfehlung. Das ist eine Geschäftsführungs-Empfehlung von jemandem, der weiss, wie unangenehm der erste Brief vom EDÖB ist.